« Les attaques de synchronisation sur le web de plus en plus sophistiquées sont de plus en plus faciles à utiliser – et à exploiter. »

Les chercheurs savent depuis longtemps qu’ils peuvent obtenir des informations cachées sur le fonctionnement interne d’un site web en mesurant le temps nécessaire pour chaque demande et en extrapolant des informations—ainsi que des vulnérabilités potentielles—à partir de légères variations. De tels « attaques par synchronisation web » sont décrites depuis des années, mais elles étaient souvent trop complexes pour être utilisées par des attaquants réels, même si elles fonctionnent en théorie. Lors de la conférence sur la sécurité Black Hat à Las Vegas cette semaine, un chercheur a averti que les attaques par synchronisation web sont en réalité réalisables et sont prêtes à être exploitées. James Kettle, directeur de la recherche chez PortSwigger, une entreprise de sécurité des applications web, a développé un ensemble de techniques d’attaque par synchronisation web pouvant être utilisées pour révéler trois catégories différentes de vulnérabilités sur les sites web. Il a validé les méthodes en utilisant un environnement de test qu’il a créé avec 30 000 sites web réels, tous offrant des programmes de primes pour bugs. Il dit que le but de ce travail est de montrer que dès que quelqu’un comprend le type d’informations que les attaques par synchronisation web peuvent fournir, les exploiter devient plus réalisable. « J’ai toujours un peu évité de faire des recherches sur les attaques par synchronisation car c’est un sujet qui a une réputation », dit Kettle. « Tout le monde fait des recherches dessus et dit que leur recherche est pratique, mais personne n’a l’air de réellement utiliser les attaques par synchronisation dans la vie réelle, donc à quel point c’est pratique ? Ce que j’espère que ce travail fera, c’est montrer aux gens que ces méthodes fonctionnent réellement de nos jours et les inciter à y réfléchir. » Kettle a été en partie inspiré par un article de recherche de 2020 intitulé « Timeless Timing Attacks » qui visait à résoudre un problème courant. Connue sous le nom de « gigue réseau », cette étiquette de l’article fait référence aux délais entre l’envoi et la réception d’un signal sur un réseau. Ces fluctuations affectent les mesures de synchronisation mais sont indépendantes du traitement du serveur web mesuré pour les attaques de synchronisation, donc elles peuvent fausser les lectures. La recherche de 2020 a toutefois souligné que lors de l’envoi de requêtes sur le protocole de réseau HTTP/2, il est possible de placer deux requêtes dans un seul paquet de communication TCP pour savoir que les deux requêtes sont arrivées au serveur simultanément. Ensuite, grâce à la conception de HTTP/2, les réponses reviendront dans l’ordre de traitement pour que celle qui a pris moins de temps soit en premier et celle qui a pris plus de temps en second. Cela fournit des informations fiables et objectives sur le timing du système sans nécessiter de connaissance supplémentaire sur le serveur web ciblé, d’où le terme « attaques de synchronisation intemporelles ». Les attaques par synchronisation web font partie d’une classe de piratages connue sous le nom de « canaux latéraux », dans lesquelles l’attaquant recueille des informations sur une cible en fonction de ses propriétés physiques du monde réel. Dans son nouveau travail, Kettle a affiné la technique d’« attaques de synchronisation intemporelles » pour réduire le bruit du réseau et a également pris des mesures pour résoudre des problèmes similaires liés au bruit du serveur afin que ses mesures soient plus précises et fiables. Il a ensuite commencé à utiliser des attaques de synchronisation pour rechercher des erreurs de codage invisibles autrement et des failles dans les sites web qui sont généralement difficiles à trouver pour les développeurs ou les acteurs malveillants, mais qui sont mises en évidence dans les informations qui fuient avec les mesures de synchronisation.

Share the Post: